Как определить уровень защищенности персональных данных в ИСПДн

БЕЗОПАСНОСТЬ
Для определения уровня защищенности персональных данных в ИСПДн необходимо разобраться что понимается под уровнем защищенности персональных данных.

Под уровнем защищенности персональных данных (УЗ) понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).

От чего зависит уровень защищенности ПД при их обработке в ИСПД

  1. Категория обрабатываемых ПД;
  2. Количество обрабатываемых субъектов ПД;
  3. Тип актуальных угроз безопасности ПД при их обработке в ИСПД.

Сколько уровней защищенности персональных данных ИСПДн

Определение уровня защищенности персональных данных ИСПДн проводится в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119. При обработке персональных данных в ИСПДн устанавливаются 4 уровня защищенности персональных данных (УЗ1, УЗ2, УЗ3, УЗ4).

Самый низкий УЗ – четвертый, самый высокий – первый. Уровни защищенности персональных данных при их обработке в ИСПДн определяются в зависимости от типа актуальных угроз безопасности персональных данных с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные.

Уровни защищенности персональных данных в ИСПДн

Актуальные угрозы могут быть 1-го типа (для ИСПДн актуальны угрозы использования недекларированных возможностей в системном ПО), 2-го типа (актуальны угрозы использования недекларированных возможностей в прикладном ПО), 3-го типа (вышеприведенные угрозы не актуальны).

От чего зависит уровень защищенности персональных данных ( ИСПДн ) и как его выбрать

Выбор уровня защищенности (далее — УЗ) персональных данных зависит от перечисленных выше характеристик ИСПДн (категории обрабатываемых ПДн и тип актуальных для ИСПДн угроз), а также от категории субъектов (сотрудники оператора или иные лица) и количества субъектов, чьи ПДн обрабатываются (больше или меньше 100000 записей).

ПП-1119 предлагает достаточно сжатый перечень мер защиты ПДн, поскольку детальные меры безопасности персональных данных определяет ФСТЭК России: Приказ №21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн, а Приказ №17 от 11.02.2013 регламентирует требования по защите информации в ГосИС, включая защиту ПДн в сфере информационной безопасности в них. Кроме этого, ФСБ РФ также выпустила Приказ №378 от 10.07.2014, который содержит описание мер защиты ПДн при использовании средств криптографической защиты информации (далее — СКЗИ).

  1. Постановление Правительства РФ от 01.11.2012 г. № 1119, которое определяет классификацию ИСПДн, возможных угроз и уровней защищенности ПДн;
  2. Приказ ФСТЭК России от 18.02.2013 г. № 21, определяющий перечень мер защиты, которые должны быть реализованы в зависимости от уровня защищенности ИСПДн для нейтрализации актуальных угроз, а также требования к сертификации применяемых средств защиты информации.
  3. Приказ ФСБ России от 10.07.2014 г. № 378, определяющий состав организационных и технических мер, которые необходимо реализовывать при применении в ИСПДн средств криптографической защиты информации. Документ также содержит требования к классу защиты СКЗИ в зависимости от уровня защищенности ПДн.
Определение угроз безопасности

Подробно рассмотрим уровни защищённости персональных данных

УЗ-1 (высший уровень защиты персональных данных)

Требуется, когда информационная система обрабатывает специальные, биометрические или иные категории данных, несанкционированное использование которых может повлечь значительные угрозы жизни и здоровья субъекту ПДн, или финансовые последствия. Специальные категории ПДн, к которым относится информация о национальной и расовой принадлежности субъекта, о религиозных, философских, либо политических убеждениях, информация о здоровье и интимной жизни субъекта.Требуется специальное ПО, шифрование.

  • актуальны угрозы 1-го типа и ИС обрабатывает либо специальные категории ПДн, либо биометрические персональные данные, либо иные категории персональных данных;
  • актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

Дополнительные требования защиты персональных данных первого уровня:

  1. Присутствие посторонних в местах обработки ПД запрещено
  2. Наличие списка работников, которые имеют свободный доступ к ПДн
  3. Использование сертифицированных средств защиты данных
  4. Наличие сотрудника, ответственного за надлежащее обеспечение защиты ПД
  5. Настройка прав доступа к электронному журналу сообщений
  6. Автоматическая запись в электронном журнале безопасности в случае изменений полномочий сотрудника
  7. Наличие собственного отдела безопасности в штате учреждения, обрабатывающего ПД

УЗ 2 устанавливается при наличии хотя бы одного из условий

Используются чуть менее жёсткие требования для защиты данных, компрометация которых может привести к негативным последствиям для субъектов ПДн. Обязательно наличие систем резервного копирования и защиты от взлома. Этот уровень устанавливается, когда, например, имеются угрозы второго типа и ведётся работа с общедоступными личных данными при количестве от 100 тысяч человек.

  • актуальны угрозы 1-го типа и ИС обрабатывает общедоступные персональные данные;
  • актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 2-го типа и ИС обрабатывает биометрические персональные данные;
  • актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

Дополнительные требования защиты персональных данных второго уровня:

  1. Присутствие посторонних в местах обработки ПД запрещено
  2. Наличие списка работников, которые имеют свободный доступ к ПДн
  3. Использование сертифицированных устройств защиты данных
  4. Наличие сотрудника, ответственного за надлежащее обеспечение защиты ПД
  5. Настройка прав доступа к электронному журналу сообщений

УЗ 3 устанавливается при наличии хотя бы одного из условий

Уровень защиты, необходимый для хранения иных данных и работе с общедоступными ПДн с количеством субъектов не более ста тысяч.

  • актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
  • актуальны угрозы 3-го типа и ИС обрабатывает биометрические персональные данные;
  • актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

Дополнительные требования защиты персональных данных третьего уровня:

  1. Присутствие посторонних в местах обработки ПД запрещено
  2. Наличие списка работников, которые имеют свободный доступ к ПДн
  3. Использование сертифицированных устройств защиты данных
  4. Наличие сотрудника, ответственного за надлежащее обеспечение защиты ПД

УЗ 4 устанавливается при наличии хотя бы одного из условий

  • актуальны угрозы 3-го типа и ИС обрабатывает общедоступные персональные данные;
  • актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.

Дополнительные требования защиты персональных данных четвертого уровня:

  • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • обеспечение сохранности носителей персональных данных;
  • утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Узнать как Роскомнадзор проводит проверку можно прочитав следующую статью.

Оцените статью